Beépített Azure RBAC-szerepkörök az Azure Virtual Desktophoz

Cikk
09/24/2024

Az Azure Virtual Desktop azure-beli szerepköralapú hozzáférés-vezérléssel (RBAC) szabályozza az erőforrásokhoz való hozzáférést. Az Azure Virtual Desktophoz számos beépített szerepkör használható, amelyek engedélygyűjtemények. Szerepköröket rendelhet a felhasználókhoz és a rendszergazdákhoz, és ezek a szerepkörök engedélyt adnak bizonyos feladatok végrehajtására. Az Azure RBAC-ről további információt az Azure RBAC ismertetése című témakörben talál.

Az Azure szabványos beépített szerepkörei a Tulajdonos, a Közreműködő és az Olvasó. Az Azure Virtual Desktop azonban több szerepkört is biztosít, amelyek lehetővé teszik a gazdagépkészletek, alkalmazáscsoportok és munkaterületek felügyeleti szerepköreinek elkülönítését. Ezzel az elkülönítéssel részletesebben szabályozhatja a felügyeleti feladatokat. Ezek a szerepkörök az Azure standard szerepköreinek és a minimális jogosultsági módszertannak megfelelően vannak elnevezve. Az Azure Virtual Desktop nem rendelkezik konkrét tulajdonosi szerepkörrel, de használhatja az általános tulajdonosi szerepkört a szolgáltatásobjektumokhoz.

Az Azure Virtual Desktop beépített szerepköreit és az egyes engedélyeket ebben a cikkben találja. Minden szerepkört hozzárendelhet a szükséges hatókörhöz. Egyes Azure Desktop-funkciók speciális követelményekkel rendelkeznek a hozzárendelt hatókörre vonatkozóan, amelyeket a vonatkozó funkció dokumentációjában talál. További információ: Az Azure-szerepkördefiníciók és az Azure RBAC hatókörének ismertetése.

Az elérhető beépített szerepkörök teljes listáját az Azure beépített szerepkörei között találja.

Asztali virtualizálási közreműködő

Az asztali virtualizálási közreműködői szerepkör lehetővé teszi az Összes Azure Virtual Desktop-erőforrás kezelését, a felhasználó- vagy csoporthozzárendelésen kívül. Ha felhasználói fiókokat vagy felhasználói csoportokat szeretne hozzárendelni az erőforrásokhoz, szüksége van a felhasználói hozzáférés-rendszergazdai szerepkörre is. Az asztali virtualizálási közreműködő szerepkör nem biztosít hozzáférést a felhasználóknak a számítási erőforrásokhoz.

Azonosító: 082f0a83-3be5-4ba1-904c-961cca79b387

Művelettípus	Engedélyek
műveletek	Microsoft.DesktopVirtualization/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Egyik sem
dataActions	Egyik sem
notDataActions	Egyik sem

Asztali virtualizálási olvasó

Az Asztali virtualizálási olvasó szerepkör lehetővé teszi az összes Azure Virtual Desktop-erőforrás megtekintését, de nem engedélyezi a módosításokat.

Azonosító: 49a72310-ab8d-41df-bbb0-79b649203868

Művelettípus	Engedélyek
műveletek	Microsoft.DesktopVirtualization//read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Egyik sem
dataActions	Egyik sem
notDataActions	Egyik sem

Asztali virtualizálási felhasználó

Az asztali virtualizálási felhasználói szerepkör lehetővé teszi, hogy a felhasználók alkalmazásokat használjanak egy munkamenet-gazdagépen egy alkalmazáscsoportból nem rendszergazda felhasználóként.

Azonosító: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Művelettípus	Engedélyek
műveletek	Egyik sem
notActions	Egyik sem
dataActions	Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions	Egyik sem

Asztali virtualizálási gazdagépkészlet közreműködője

Az asztali virtualizálási gazdagépkészlet közreműködői szerepköre lehetővé teszi a gazdagépkészlet minden aspektusának kezelését. Az Azure Virtual Desktop portálon való üzembe helyezéséhez a virtuális gépek létrehozásához és az asztali virtualizálási alkalmazáscsoport közreműködői és az asztali virtualizálási munkaterület közreműködői szerepköreihez is szüksége van a virtuális gépek közreműködői szerepkörére, vagy használhatja az asztali virtualizálási közreműködői szerepkört.

Azonosító: e307426c-f9b6-4e81-87de-d99efb3c32bc

Művelettípus	Engedélyek
műveletek	Microsoft.DesktopVirtualization/hostpools/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Egyik sem
dataActions	Egyik sem
notDataActions	Egyik sem

Asztali virtualizálási gazdagépkészlet olvasója

Az asztali virtualizálási gazdagépkészlet-olvasó szerepkör lehetővé teszi a gazdagépkészlet minden aspektusának megtekintését, de nem engedélyezi a módosításokat.

Azonosító: ceadfde2-b300-400a-ab7b-6143895a822

Művelettípus	Engedélyek
műveletek	Microsoft.DesktopVirtualization/hostpools//read Microsoft.DesktopVirtualization/hostpools/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Egyik sem
dataActions	Egyik sem
notDataActions	Egyik sem

Asztali virtualizálási alkalmazáscsoport közreműködője

Az asztali virtualizálási alkalmazáscsoport közreműködői szerepköre lehetővé teszi az alkalmazáscsoport minden aspektusának kezelését, a felhasználó- vagy csoporthozzárendelésen kívül. Ha felhasználói fiókokat vagy felhasználói csoportokat is szeretne hozzárendelni az alkalmazáscsoportokhoz, akkor a felhasználói hozzáférés-rendszergazdai szerepkörre is szüksége van.

Azonosító: 86240b0e-9422-4c43-887b-b61143f32ba8

Művelettípus	Engedélyek
műveletek	Microsoft.DesktopVirtualization/applicationgroups/* Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Egyik sem
dataActions	Egyik sem
notDataActions	Egyik sem

Asztali virtualizálási alkalmazáscsoport olvasója

Az asztali virtualizálási alkalmazáscsoport-olvasó szerepkör lehetővé teszi az alkalmazáscsoportok minden aspektusának megtekintését, de nem engedélyezi a módosításokat.

Azonosító: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Művelettípus	Engedélyek
műveletek	Microsoft.DesktopVirtualization/applicationgroups//read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Egyik sem
dataActions	Egyik sem
notDataActions	Egyik sem

Asztali virtualizálási munkaterület közreműködője

Az asztali virtualizálási munkaterület közreműködői szerepköre lehetővé teszi a munkaterületek minden aspektusának kezelését. Ha egy kapcsolódó alkalmazáscsoporthoz hozzáadott alkalmazásokról szeretne információt kapni, szüksége van az asztali virtualizálási alkalmazáscsoport-olvasó szerepkörre is.

Azonosító: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Művelettípus	Engedélyek
műveletek	Microsoft.DesktopVirtualization/workspaces/* Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Egyik sem
dataActions	Egyik sem
notDataActions	Egyik sem

Asztali virtualizálási munkaterület olvasója

Az asztali virtualizálási munkaterület olvasó szerepkörével a felhasználók megtekinthetik a munkaterület minden aspektusát, de nem engedélyezik a módosításokat.

Azonosító: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Művelettípus	Engedélyek
műveletek	Microsoft.DesktopVirtualization/workspaces/read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/
notActions	Egyik sem
dataActions	Egyik sem
notDataActions	Egyik sem

Asztali virtualizálás felhasználói munkamenet-operátor

Az asztali virtualizálási felhasználói munkamenet-operátor szerepkör lehetővé teszi az üzenetek küldését, a munkamenetek leválasztását, valamint a logoff függvény használatát a felhasználók munkamenet-gazdagépről való kijelentkeztetéséhez. Ez a szerepkör azonban nem teszi lehetővé a gazdagépkészlet vagy a munkamenet-gazdagép kezelését, például a munkamenet-gazdagép eltávolítását, a leürítési mód módosítását stb. Ez a szerepkör láthatja a feladatokat, de nem módosíthatja a tagokat. Javasoljuk, hogy rendelje hozzá ezt a szerepkört adott gazdagépkészletekhez. Ha ezt a szerepkört erőforráscsoport szintjén rendeli hozzá, az olvasási engedélyt biztosít az erőforráscsoport összes gazdagépkészletéhez.

Azonosító: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Művelettípus	Engedélyek
műveletek	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Egyik sem
dataActions	Egyik sem
notDataActions	Egyik sem

Asztali virtualizálási munkamenet gazdagépének operátora

Az asztali virtualizálási munkamenetgazda-operátor szerepkör lehetővé teszi a munkamenet-gazdagépek megtekintését és eltávolítását, valamint a leürítési mód módosítását. Ez a szerepkör nem tud munkamenet-gazdagépeket hozzáadni az Azure Portal használatával, mert nem rendelkezik írási engedéllyel a gazdagépkészlet-objektumokhoz. Az Azure Portalon kívüli munkamenet-gazdagépek hozzáadásához, ha a regisztrációs jogkivonat érvényes (létrehozva és nem lejárt), ez a szerepkör hozzáadhat munkamenet-gazdagépeket a gazdagépkészlethez, ha a virtuálisgép-közreműködői szerepkör is hozzá van rendelve.

Azonosító: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Művelettípus	Engedélyek
műveletek	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Egyik sem
dataActions	Egyik sem
notDataActions	Egyik sem

Asztali virtualizálási power on közreműködő

Az asztali virtualizálási power on közreműködői szerepkör lehetővé teszi az Azure Virtual Desktop erőforrás-szolgáltató számára a virtuális gépek indítását.

Azonosító: 489581de-a3bd-480d-9518-53dea7416b33

Művelettípus	Engedélyek
műveletek	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	Egyik sem
dataActions	Egyik sem
notDataActions	Egyik sem

Az asztali virtualizálás kikapcsolva közreműködője

Az asztali virtualizálás kikapcsolva közreműködői szerepköre lehetővé teszi, hogy az Azure Virtual Desktop erőforrás-szolgáltató elindítsa és leállítja a virtuális gépeket.

Azonosító: 40c5ff49-9181-41f8-ae61-143b0e78555e

Művelettípus	Engedélyek
műveletek	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Insights/eventtypes/values/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	Egyik sem
dataActions	Egyik sem
notDataActions	Egyik sem

Asztali virtualizálási virtuális gép közreműködője

Az asztali virtualizálási virtuális gép közreműködői szerepköre lehetővé teszi, hogy az Azure Virtual Desktop erőforrás-szolgáltató virtuális gépeket hozzon létre, töröljön, frissítsen, indítsa el és állítsa le.

Azonosító: a959dbd1-f747-45e3-8ba6-dd80f235f97c

Művelettípus	Engedélyek
műveletek	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read Microsoft.Compute/availabilitySets/read Microsoft.Compute/availabilitySets/write Microsoft.Compute/availabilitySets/vmSizes/read Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/disks/delete Microsoft.Compute/galleries/read Microsoft.Compute/galleries/images/read Microsoft.Compute/galleries/images/versions/read Microsoft.Compute/images/read Microsoft.Compute/locations/usages/read Microsoft.Compute/locations/vmSizes/read Microsoft.Compute/operations/read Microsoft.Compute/skus/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/runCommand/action Microsoft.Compute/virtualMachines/extensions/read Microsoft.Compute/virtualMachines/extensions/write Microsoft.Compute/virtualMachines/extensions/delete Microsoft.Compute/virtualMachines/runCommands/read Microsoft.Compute/virtualMachines/runCommands/write Microsoft.Compute/virtualMachines/vmSizes/read Microsoft.Network/networkSecurityGroups/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/delete Microsoft.Network/virtualNetworks/alhálózatok/olvasás Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read Microsoft.KeyVault/vaults/deploy/action Microsoft.Storage/storageAccounts/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read
notActions	Egyik sem
dataActions	Egyik sem
notDataActions	Egyik sem

Megosztás a következőn keresztül: